COMPUTING

Investigador de seguridad: la contraseña de ‘solarwinds123’ se dejó firme y vulnerable en 2019

La saga SolarWinds sigue empeorando con el paso del tiempo. Hace varios días, se supo que unas 18.000 empresas se habían visto comprometidas por un actor del Estado-nación. Se cree que los atacantes en cuestión están afiliados a Cozy Bear, también conocido como APT29, alias el gobierno ruso. El hackeo ha afectado a varias agencias gubernamentales de EE. UU., La empresa de seguridad FireEye y muchas otras empresas.

Cuando ocurren este tipo de infracciones, una pregunta importante es cómo los piratas informáticos pudieron ingresar en primer lugar. SolarWinds es una importante empresa estadounidense que desarrolla software de gestión de redes e infraestructura, y tiene una enorme lista de clientes. Parece que los investigadores de seguridad han estado tratando de que la compañía preste atención a las principales fallas en sus defensas durante algún tiempo.

El investigador de seguridad Vinoth Kumar dijo Reuters que se puso en contacto con la empresa en 2019 y le advirtió que cualquiera podía acceder a su servidor de actualización adivinando la contraseña “solarwinds123”. Reuters también informa que los piratas informáticos que afirman que podrían vender el acceso a las computadoras de SolarWinds desde 2017. No está claro a partir de la redacción de la historia si la oferta era por un método para infiltrarse en SolarWinds, o si el sombrero negro estaba ofreciendo vender acceso a computadoras que usaban el software SolarWinds.

Entonces, hay este tidbit:

“Kyle Hanslovan, cofundador de la empresa de ciberseguridad con sede en Maryland Huntress, notó que, días después de que SolarWinds se diera cuenta de que su software había sido comprometido, las actualizaciones maliciosas aún estaban disponibles para descargar”.

El párrafo anterior me dejó pensando que este libro podría ser útil algún día.

Quiero dejar claro que esta contraseña específica es no Se cree que es el medio por el cual Cozy Bear accedió a la herramienta de gestión de red SolarWinds, denominada Orion, pero habla de una cultura de seguridad terrible en la empresa, dadas las necesidades de seguridad de datos de sus clientes. Debido a que Orion se usa a menudo para administrar enrutadores y conmutadores dentro de grandes redes corporativas, la penetración del software le dio a los sombreros negros una maravillosa ventana al tráfico de red externo e interno de casi 20,000 empresas, agencias federales y otros tipos de organizaciones.

Debido a que la investigación aún está en curso, hay muchas cosas que no sabemos, pero se dice que aproximadamente 33.000 clientes de una base total de 330.000 clientes han implementado Orion. Si las cifras de SolarWinds son precisas, eso significa que hasta el 54 por ciento de la base de clientes del producto puede verse comprometida. Sabemos que APT29 no comprometió directamente el repositorio de código fuente de SolarWinds; el ataque tuvo como objetivo el sistema de compilación de software.

FireEye describe la ruta de infección de la siguiente manera:

El archivo de actualización troyano es un archivo de revisión estándar de Windows Installer que incluye recursos comprimidos asociados con la actualización, incluido el componente Trojanizado SolarWinds.Orion.Core.BusinessLayer.dll. Una vez instalada la actualización, el archivo DLL malicioso será cargado por SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo (según la configuración del sistema). Después de un período inactivo de hasta dos semanas, el malware intentará resolver un subdominio de avsvmcloud[.]com.

Los piratas informáticos que llevaron a cabo este ataque son muy, muy bueno. La nueva información sugiere que estuvieron detrás de una serie de ataques a un grupo de expertos en particular en 2019 y 2020. Ars Technica ha más sobre esto (es un poco tangencial a SolarWinds, pero útil si quieres leer más sobre lo que ha estado haciendo Cozy Bear y las tácticas que usa).

Ha habido una avalancha de noticias en los últimos días. SolarWinds ha eliminado su lista de clientes de alto perfil, posiblemente para protegerlos de la mala publicidad. Microsoft y algunos de sus socios de la industria se han apoderado del dominio de comando y control utilizado para ejecutar las máquinas comprometidas.

La investigación de este hackeo aún está en curso y aún no conocemos los detalles de cómo sucedió, pero los ataques de esta escala y complejidad suelen ser muy graves. El software comprometido de SolarWinds se utilizó para penetrar en los CDC, el Departamento de Seguridad Nacional, el Departamento de Justicia, el Pentágono y el Departamento de Estado. Los investigadores esperan descubrir múltiples vectores de ataque, en lugar de un solo punto de ataque.

Las investigaciones sobre el hackeo están en curso en todos los niveles, pero la Agencia de Seguridad e Infraestructura Cibernética de los Estados Unidos está perdiendo la cabeza porque el presidente Donald Trump despidió a Christopher Krebs por negarse a respaldar o respaldar sus afirmaciones infundadas de fraude electoral. También ha habido preocupaciones desde hace mucho tiempo de que CISA carece de recursos suficientes para responder a una crisis de este alcance y tamaño.

“Estamos bien en este momento”, dijo un empleado anónimo de CISA dicho Politico, pero “parece probable que eso cambie … Muchas agencias aún no saben qué tan ardientes están”.

Esta historia se desarrolla día a día, a medida que sale a la luz nueva información. La contraseña débil en el servidor de actualizaciones de SolarWinds, aunque quizás no sea directamente responsable de la situación actual de la empresa, dice poco sobre la situación de seguridad subyacente.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar